(T) Algorytmy protokołu IPsec*
Spis treści
Pokaż
Algorytmy protokołu IPsec
Rodzaje algorytmów IPsec
Metody Autentykacji (Authentication metod)
- Symetric Key Exchange –
- Asymetric Key Exchange –
- PSK (Pre Share Key) – Mechanizm bezpieczeństwa, w którym lokalnie skonfigurowany klucz jest używany jako poświadczenie w celu wzajemnego uwierzytelnienia dwóch urządzeń.
- RSA (Rivest-Shamir Adelman Algorithm) –
Certyfikaty podpisu cyfrowego
- DSA (Digital Signature Algorithm) –
- ECDSA (Elliptic Curve Digital Signature Algorithm) –
- PKI (Public Key Infrastructure) –
Algorytmy szyfrujące (Encryption Algorithm)
- DES (Data Encryption Standard) – 56-bitowy symetryczny algorytm szyfrowania danych. Obecnie jego wykorzystanie nie jest zalecane, z powodu niskiego poziomu zabezpieczeń.
- 3-DES (Triple Data Encryption Standard) – Algorytm szyfrowania danych, trzykrotnie uruchamiający algorytm DES z trzema różnymi 56-bitowymi kluczami. Obecnie jego wykorzystanie nie jest zalecane.
- AES (Advanced Encryption Standard) – Symetryczny algorytm szyfrowania danych, opracowany w celu zastąpienia algorytmu DES oraz 3DES. Algorytm AES obsługuje klucze o długości 128, 192 oraz 256 bitów (Jest oparty na algorytmie Rijndael).
Algorytmy haszujące (Hash Algorithm)
- MD5 (Message-Digest Algorithm) – Jednokierunkowy 128-bitowy algorytm haszujący, wykorzystywany do uwierzytelniania przesyłanych danych. Urządzenia Cisco wykorzystują algorytm MD5 HMAC, który zapewnia dodatkowy poziom ochrony przed atakami MitM. Używanie tego algorytmu nie jest już zalecane.
- SHA (Secure Hash Algorithm) – Jednokierunkowy 160-bitowy algorytm haszujący, wykorzystywany do uwierzytelniania przesyłanych danych. Urządzenia Cisco wykorzystują algorytm SHA-1 HMAC, który zapewnia dodatkową ochronę przed atakami MitM (Stanowi następce algorytmu MD5).
Wymiana klucza (Diffie-Hellman Group)
- DH (Diffie-Hellman) – Asymetryczny protokół wymiany kluczy, umożliwiający bezpieczną wymianę współdzielonego klucza (Shared secret key), używanego przez algorytmy szyfrowania takie jak AES czy DES, poprzez niezabezpieczony kanał komunikacyjny pomiędzy dwoma urządzeniami. Grupa DH odnosi się do długości klucza (rozmiaru modułu) używanego do bezpiecznej wymiany kluczy. Przykładowo grupa pierwsza DH używa 768 bity, grupa druga 1024 natomiast grupa piąta używa 1536 bitów. Im większy moduł protokołu DH tym wymiana klucza współdzielonego jest lepiej zabezpieczona.
Transform Sets
| Transform Type | Transform |
| Authentication Header Transform | ah-md5-hmac |
| Authentication Header Transform | ah-sha-hmac |
| Authentication Header Transform | ah-sha256-hmac |
| Authentication Header Transform | ah-sha384-hmac |
| Authentication Header Transform | ah-sha512-hmac |
| ESP Encryption Transform | esp-aes |
| ESP Encryption Transform | esp-gcm esp-gmac |
| ESP Encryption Transform | esp-aes 192 |
| ESP Encryption Transform | esp-aes 256 |
| ESP Encryption Transform | esp-des esp-3des |
| ESP Encryption Transform | esp-null |
| ESP Encryption Transform | esp-seal |
| ESP Authentication Transform | esp-md5-hmac |
| ESP Authentication Transform | esp-sha-hmac |
| IP Compression Transform | comp-lzs |
